Notices tagged with seguridad, page 12

Nuestro proveedor de Internet, empresas de seguridad y gobiernos tienen varias formas para conocer y registrar las páginas web a las que nos conectamos. Muchos de vosotros pensaréis que usando DNS over HTTPS (DoH) nadie podrá saber las web que visitamos, pero esto no es así. Aunque usemos DoH nuestro proveedor de Internet, empresas de seguridad y otros actores pueden ver las URL que visitamos porque tienen la posibilidad de consultar el Server Name Indication (SNI). Frente a esta problemática en el siguiente artículo vermeos como activar ESNI y DoH para dificultar que un tercero observe o trafíque con nuestro historial de navegación.

Una biblioteca de JavaScript, que pretende ser una biblioteca relacionada con Twilio permitía instalar backdoors en las computadoras de los programadores para permitir que los atacantes accedan a las estaciones de trabajo infectadas, se cargó en el registro de código abierto de npm el viernes pasado.

Afortunadamente, el servicio de detección de malware Release Integrity de Sonatype detectó rápidamente el malware, en tres versiones, y lo eliminó el lunes.

El equipo de seguridad de npm eliminó el lunes una biblioteca de JavaScript denominada «twilio-npm» del sitio web de npm porque contenía código malicioso que podía abrir backdoors en las computadoras de los programadores.

Probablemente has oído hablar del 'Zoom bombing', la práctica de irrumpir en videollamadas ajenas, normalmente con el objetivo de escandalizar a los participantes de la misma. Pero posiblemente no hayas oído hablar del 'Zoom snooping', pese a que sus consecuencias para los usuarios de Zoom (y otras aplicaciones similares) pueden ser muchos peores.

El 'zoom snooping' consiste en utilizar las imágenes de un participante en una videollamada para extraer información personal del mismo, incluso sus contraseñas. Pero ¿cómo es eso? ¿Quizá es porque la gente deja post-its con datos sensibles a la vista mientras está delante de la webcam?

Nos hacemos eco de una nueva investigación de seguridad que ha encontrado una nueva técnica que permite a un atacante evitar el firewall y acceder de forma remota a cualquier servicio TCP/UDP en el equipo de la víctima. Un problema que, como vemos, puede poner en serio problema la seguridad. Vamos a explicar en qué consiste este ataque.

Existen muchos usuarios que usan uBlock Origin para unicamente bloquear la publicidad. Estos usuarios deberían saber que uBlock Origin tiene otras utilidades aparte de bloquear la publicidad. Por este motivo en el siguiente artículo veremos los usos alternativos que podemos dar al bloqueador de anuncios de uBlock Origin. Si en vuestro caso conocéis otros usos diferentes a los mencionados dejadlos en los comentarios del artículo.

A estas alturas yo creo que ya nadie piensa que todos los ciberdelicuentes o cibercriminales son adolescentes trabajando en un sótano con una sudadera con capucha. No digo que no los haya, como lobos solitarios en la hondonada del bosque, pero está claro y meridiano que los grandes "actores" se organizan en complejas bandas con una estructura que se asemeja a la de muchas empresas de tecnología. De hecho imitan tanto su comportamiento que podemos ver que a menudo están activas durante el horario de oficina, se toman los fines de semana libres, trabajan en horario regular, sus miembros se toman vacaciones... Luego establecen objetivos y hasta establecen metas trimestrales.

Siempre se ha dicho que Linux era mucho más seguro que macOS y Windows. Sin embargo, la ausencia de malware no es porque sea un sistema seguro, sino más bien que a los piratas informáticos no les merecía la pena desarrollar malware para él. Una prueba de ello es que, en cuanto este SO ha levantado interés, han empezado a aparecer fallos de seguridad muy graves que ponen en peligro la seguridad de los usuarios que apuestan por él. Y uno de los últimos fallos de seguridad en poner muy en peligro a los usuarios de Linux es BleedingTooth.

Ayer en la mañana nos desayunamos la noticia de que existió "una posible brecha" en el sistema de clave única de Chile (es una forma centralizada en la cual un ciudadano chileno puede acceder a más de 900 trámites online con una sola contraseña), en la misma mañana salió un comunicado de Gobierno Digital apagando el incendio, diciendo que usaban un robusto sistema de hasheo en sus sistemas y aunque haya existido la brecha no se podía acceder a la clave única, pero igual de todas formas ya habían activado el protocolo de cambio de contraseñas de forma paulatina para evitar problemas.

Ningún sistema es 100% seguro y estas cosas pueden pasar, el protocolo aplicado es el correcto en este tipo de casos, todo "normal" y en el peor de los casos se filtró tu clave única, pero nadie pudo realizar trámites a tu nombre ya que tu contraseña debe ser cambiada en el siguiente logeo (esto le ha pasado a grandes empresas como Dropbox, Linkedin, etc...).

Hasta aquí estamos hablando de un problema grave en la seguridad en un sistema en particular, lo cual afecta de forma seria la funcionalidad de un sistema del Gobierno de Chile que es usado por prácticamente todos los chilenos, más ahora que estamos en pandemia... Pero el problema parecía haber sido amagado de forma correcta y esperábamos que no hubieran más incidencias, eso hasta que un twittero empieza a liberar los leaks de a poco...

Cada vez guardamos más y más información en nuestros ordenadores. Estos datos pueden ser de todo tipo, desde archivos curiosos, pero sin valor, hasta datos personales, como las fotos que forman parte de nuestra vida, o documentos del trabajo, que tienen gran valor. Casi nunca nos preocupamos de los datos mientras están allí, sin embargo, ¿qué ocurre cuando algo sale mal y, ya sea por un virus, y fallo del sistema operativo o un problema del disco duro, los datos se pierden? Para evitar la catástrofe es necesario contar con un potente software de copia de seguridad. Y uno de los más interesantes hoy en día es Rescuezilla.

Hoy traemos un código en C bastante académico, concretamente casi una PoC de un malware que, en tan sólo 149 líneas, es capaz de comprometer y birlar la info del navegador de un usuario de Windows (ficheros de config como el historial, preferencias, etc.) y hasta con un bajo ratio nivel de detección de los AV. Y ojo que solo decimos ratio de detección porque, como decía el amigo esjay, ejecuta exes desde %temp%, usa la clave de registro estándar para persistencia, ni siquiera oculta las llamadas a la API, transmite archivos sin cifrar por ftp desde algún binario sin firmar, ... es decir, que disparará en un santiamén las alarmas de cualquier EDR. Pero bueno, buen código for fun and profit que:

Los ingenieros de Google dieron a conocer mediante una publicación que han identificado una vulnerabilidad grave (CVE-2020-12351) en la pila de Bluetooth «BlueZ» la cual es utilizada en las distribuciones de Linux y Chrome OS.

La vulnerabilidad, cuyo nombre en código es BleedingTooth, permite a un atacante no autorizado ejecutar su código en el nivel del kernel de Linux sin la intervención del usuario mediante el envío de paquetes Bluetooth especialmente diseñados.

El problema puede ser aprovechado por un atacante que se encuentre dentro del alcance de Bluetooth y además de que no se requiere que exista un emparejamiento previo entre el dispositivo atacante y la victima, la única condición es que el Bluetooth debe estar activo en la computadora.

Nacida en 1949, a la sombra de la guerra fría, la Organización del Tratado del Atlántico Norte, OTAN, es una entidad supranacional que no ha dejado de evolucionar en estos 71 años, del mismo modo en el que lo han hecho las amenazas que se dirigen tanto hacia la propia organización como a los 30 estados miembros de la misma, 51 si incluimos los que no se han integrado en la misma, pero sí en el programa Partnership for Peace (Asociación para la Paz). Si hubiera que enumerar todos los cambios geopolíticos transcurridos en este tiempo, seguramente no terminaría esta noticia antes del solsticio de invierno.

Esos cambios, claro, se han traducido en que la lista de enemigos de la OTAN ha variado sustancialmente. Del Pacto de Varsovia ya solo queda un tenue recuerdo, y el consabido bloque del este es, hoy en día, una interminable lista de estados con políticas de lo más diversas (algunas muy cercanas a la OTAN, otras todavía bastante enfrentadas) y, por extraño que pueda parecer, hasta Rusia, el que fuera el principal rival, forma parte ahora de Partnership for Peace. Si se lo llegan a decir a Stalin…

En el proceso de una intrusión, normalmente en la fase de post-explotación, un atacante necesita descargar y ejecutar código malicioso a través de comandos para implementar operaciones tales como recopilación de información, persistencia, escalada de privilegios, bypasses de defensas, extracción de credenciales, movimiento lateral y exfiltración de datos. Hoy traemos una buena recopilación de comandos en una sóla línea para ello:

Las redes inalámbricas son muy utilizadas pero también puede ser un problema de seguridad si no nos conectamos correctamente. Especialmente cuando navegamos en redes públicas podemos correr el riesgo de sufrir ataques cibernéticos. No sabemos realmente quién puede estar detrás. Hoy nos hacemos eco de un informe lanzado por el FBI donde indican que es un peligro conectarnos a una red Wi-Fi de un hotel sin estar protegido.

En estos días donde todo esta globalizado y conectado es esencial la seguridad de nuestros sistemas, al igual que es muy necesario la configuración de un cortafuegos, como hablamos recientemente, también es importante tener un sistema habilitado para la detección de intrusos (IDS).

En el el caso de esta entrada veremos en que consiste un IDS, de uno de que utiliza licencias libres llamado Snort

Desde el Ministerio de Industria y de Comercio ruso han anunciado el descubrimiento de la importación al país de planchas de ropa, de fabricación extranjera, con componentes escondidos en su interior que registran el audio, informaron este miércoles medios locales.

"Tienen dispositivos de escucha. Hemos visto un par de planchas con micrófonos", aseguró el director del Departamento de industria radioelectrónica del Ministerio, Vasili Shpak, añadiendo que salvo por los componentes ocultos, se trata de "una plancha común".

Los responsables de Mullvad VPN anunciaron ayer en su blog que habían descubierto un problema de seguridad en Windows 10; o, más concretamente, en la versión más reciente del subsistema de Windows para Linux (WSL2), cuyas conexiones, al parecer, sortean al cortafuegos nativo de Windows 10 (y con él, cualquier regla que hayamos podido configurar en el mismo).

Su producto incluye una opción que recurre al cortafuegos para bloquear cualquier acceso a Internet a menos que esté conectado a la VPN, pero un usuario les hizo saber que, aun estando desactivado su VPN, su instalación Linux sobre WSL2 se seguía conectando sin problemas a Internet (aunque, cuando había un túnel VPN activo, el tráfico de WSL2 también se redirigía a través del mismo sin problema).

Posteriormente hicieron la misma comprobación con otros VPN de la competencia, con igual resultado. Pero, ¿a qué se debe esto, y por qué no afecta a la primera versión de WSL?

Tanto si la pandemia de SARS-CoV-2 te ha impulsado a teletrabajar desde casa, como si simplemente quieres sentirte más seguro en tu hogar u oficina, deberías saber que los teléfonos inalámbricos y VoIP son un objetivo para muchos ciberdelincuentes que buscan atacar a empresas o particulares.

Ten en cuenta que un ciberataque puede suponer pérdidas importantes para el negocio, así como filtración de información sensible de la propia empresa o de los clientes. Por tanto, para evitar que puedan escuchar tus conversaciones deberías seguir algunos consejos prácticos que puedes aplicar tú mismo.

A lo largo y ancho de la Red, existen multitud de equipos (y, sobre todo, de dispositivos IoT) que, por una mala configuración de seguridad de sus puertos, están exponiendo datos o permitiend el acceso desde el exterior.

Para verificar que nuestra IP no forme parte de esa funesta lista, Shodan ofrece un servicio online (podemos usarlo sin estar registrados) que permite escanear rápidamente todos nuestros puertos para saber si alguno de ellos está siendo expuesto a Internet.

Para comprobarlo, sólo tienes que acceder a http://me.shodan.io y, si recibes como respuesta una página 404, puedes estar tranquilo: eso significa que Shodan no ha podido detectar vulnerabilidades en la configuración de tus puertos.

Si anteayer empezábamos la semana urgiendo a actualizar Windows Server para protegerse de Zerologon, hoy sabemos que este problema de seguridad también afecta a determinadas versiones de Samba, el más que popular protocolo de compartición de archivos y que, aunque esta función no es tan conocida y empleada, también puede actuar como controlador principal de dominio, como miembro del mismo y, para estructuras de red basadas en Windows, incluso como dominio de Active Directory, prestando el servicio de directorio a la red o a un dominio específico de la misma.

Esto hace, claro, que Samba también pueda responsabilizarse de la autenticación de usuarios y para tal fin emplea… sí, seguro que lo has adivinado: Netlogon, precisamente el epicentro de Zerologon, debido como ya te contamos a varios problemas en la implementación de las funciones de cifrado. Un problema que permite que, rellenando ciertos campos del mensaje de login con ceros (de ahí su nombre) sea posible iniciar sesión como administrador del dominio.